Moderna protezione del router SOHO

Naviga le tue risposte
2

Molto simile all'entropia "mito" di "1337" parla di password rispetto alla lunghezza complessiva della password , sembra che più PC moderni " gli articoli di consulenza sul Web suggeriscono ancora di nascondere gli SSID e il filtraggio MAC.

Oltre a questi dubbi, suggeriscono l'utilizzo di crittografia avanzata (WPA2-PSK), la modifica dei dettagli predefiniti dell'amministratore del router (ovviamente) e l'IP del router predefinito (per mitigare gli exploit di Internet drive-by) ma dopo reading - multiplo - recent - risposte , sembra che ogni altra conoscenza che avevo in precedenza sulla protezione del router sia completamente sbagliato. Sembra anche che la maggior parte di questa conoscenza sia stata conosciuta per oltre un decennio ...

Vedo molte risposte che spiegano perché queste sono sbagliate, ma poche suggeriscono come risolverle in modo efficace.

Quali sono i moderni metodi di protezione dei router SOHO dal punto di vista tecnico-ingegneristico contro gli attacchi Internet e wireless?

Esistono altri metodi di crittografia che possono essere utilizzati su WPA2-PSK? I dispositivi NAS su tali reti wireless dovrebbero essere considerati compromessi? Come si possono usare i firewall dei router per mitigare tali attacchi?

    
posta myol 26.11.2015 - 13:19
fonte

3 risposte

4

Cose che dovresti fare:

  • Aggiorna il firmware
  • Utilizzare una password complessa e WPA2 per le connessioni wireless. Non utilizzare WEP.
  • Cambia il SSID del router in qualcosa di non standard. Questo perché il SSID è usato come sale per la password wireless e avere un SSID non standard protegge contro un utente malintenzionato utilizzando le tabelle arcobaleno generate per SSID standard.
  • Disabilita WPS: è intrinsecamente insicuro.
  • Disabilita l'amministrazione remota. Ciò include l'accesso da qualsiasi app mobile: hai davvero bisogno di modificare da remoto le impostazioni sul tuo router da un'app?
  • Utilizzare una password complessa per la pagina web di amministrazione del router e, se possibile, modificare il nome utente dell'amministratore. Io uso una password casuale lunga salvata in un gestore di password.
  • Ricorda di uscire dalla pagina web di amministrazione al termine.
  • Se possibile, abilita HTTPS per le connessioni della pagina web di amministrazione.
  • Disattiva uPnP. Controlla eventuali altri servizi che il tuo router potrebbe eseguire (FTP, SMB, telnet, ssh) e disabilitali se necessario.
  • Fai molta attenzione all'apertura delle porte per le connessioni in entrata.

Cose che potresti prendere in considerazione:

  • Configura una rete ospite per i visitatori per mantenerli separati dalla rete principale. Se i tuoi visitatori possono accedere a Internet e non a nessun altro computer sulla tua rete, ciò dovrebbe impedire loro di infettare i tuoi dispositivi con malware. Ciò significa anche che non è necessario condividere la chiave WPA2 principale.
  • Utilizza un intervallo di rete non standard (ad esempio non 192.168.0.x o 192.168.1.x). Questo può essere utile contro un attacco con script che utilizza un intervallo di rete predefinito e in futuro ti aiuterà se hai bisogno di configurare connessioni VPN.
  • Attiva la registrazione e rivedi i log.

Cose che probabilmente sono una perdita di tempo:

  • Nascondere il SSID. Questa è sicurezza per oscurità e trovare un SSID nascosto è facile compito
  • Utilizza il filtro MAC. Un aggressore determinato può facilmente falsificare un indirizzo MAC.
risposta data 26.11.2015 - 15:01
fonte
1

Per negare agli attaccanti locali l'accesso alla rete utilizza una buona crittografia: WPA2-PSK è buono mentre WEP no. Tuttavia, WPA2 potrebbe essere sottoposto a brute-force, quindi utilizzare una password adeguata. E poiché molti fornitori non implementano WPS in modo appropriato, disabilitalo meglio.

Per impedire l'accesso o la modifica della configurazione del dispositivo da parte di un utente malintenzionato nella stessa rete o da un utente malintenzionato remoto (utilizzando CSRF o simili o accedendo al dispositivo da Internet):

  • Scegli un modello di router con un buon record di sicurezza. Google per exploit relativi al dispositivo e al venditore prima dell'acquisto. Sfortunatamente ci sono solo pochi dispositivi in cui il venditore si preoccupa davvero della sicurezza. Non aspettarti la sicurezza dai dispositivi economici.
  • Utilizza una password complessa per proteggere l'interfaccia amministrativa.
  • Assicurati che il dispositivo non sia raggiungibile da Internet, ovvero non di default, non abilitandolo, non aggiungendo un port forwarding e non attraverso nessuna backdoor conosciuta (vedi: scegli un modello con un buon record di sicurezza) .
  • Se possibile, abilita l'aggiornamento automatico del firmware. Se il tuo router non lo offre, potrebbe non essere la scelta migliore.
  • Se ricevi degli ospiti, assicurati che il router offra una WLAN ospite con ESID separato, password e anche una rete separata.
  • Potrebbe essere utile cambiare l'indirizzo IP del dispositivo, ma se esiste una vulnerabilità CSRF o non sarà di grande aiuto in quanto l'utente malintenzionato può facilmente eseguire la scansione della rete locale dall'interno del browser.
risposta data 26.11.2015 - 13:37
fonte
0

La maggior parte dei router non è sicura perché sono realizzati da società di hardware che non si preoccupano di mantenere aggiornato il software del router e, dato che un router è in realtà un piccolo computer basato su Linux e aperto a Internet, è un problema piuttosto serio.

Non importa se proteggi il router usando un potente Wi-Fi PSK, cambia la password dell'amministratore in qualcosa di strong, ecc ... se c'è un vulnerabile o backdoored SSH / server telnet che darà felicemente i privilegi di root a chiunque si connetta, e da lì hai già perso come l'attaccante può quindi ripristinare la password di amministratore dell'interfaccia web, o modificare direttamente le impostazioni senza toccare l'interfaccia web in modo da non sollevare alcun sospetto, e anche scrivere sui nodi del dispositivo di memoria flash come resettare reset o anche reinstallare il firmware (il bootloader stesso può essere sovrascritto, il che significa che è possibile caricare il codice dannoso il prima possibile e quindi ostacolare ogni metodo basato su software per reinstallare il router, solo la riscrittura fisica dei chip di memoria utilizzando un clean machine - quindi nemmeno eseguire il bootloader malevolo - salverà il router).

Raccomando di usare un vecchio computer desktop con una distribuzione Linux o * BSD generica come router e di tenere il computer sicuro e aggiornato come faresti con qualsiasi altro server.

    
risposta data 26.11.2015 - 14:10
fonte

Leggi altre domande sui tag

Come funziona la funzione "accesso di emergenza" di LastPass? Esiste il rischio che i file shredder e i tergicristalli spaziali liberi rubino i nostri dati riservati?